Заметки о Windows и других программных продуктах Microsoft...

Квота на присоединение компьютеров к домену

Квота на присоединение компьютеров к домену

По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.


Если превысить эту квоту, то при добавлении компьютера в домен пользователь получит сообщение о ошибке :

Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

За размер квоты отвечает атрибут пользователя ms-DS-MachineAccountQuota. Считается квота следующим образом: в учетной записи компьютера (а не пользователя) есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя, заводившего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер в домен, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то компьютер подключается к домену, иначе появляется приведенная выше ошибка. Квота носит относительный характер, т.е. считаются не все учетные записи компьютеров, когда либо заведенные пользователем,  а только существующие в домене на данный момент.

Есть несколько способов обойти квоту.

Предварительное создание учетной записи компьютера

  1. Открываем оснастку «Active Directory — пользователи и компьютеры».
  2.  Щелкаем правой кнопкой мыши на контейнере, в котором планируется создавать учетную запись и выбираем пункт Создать — Компьютер.
  3.  В открывшемся окне вводим имя компьютера, который необходимо добавить в домен.
  4. Жмем на кнопку Изменить и выбираем пользователя или группу, от имени которого производится присоединение к домену. При выборе имейте ввиду, что квота не распространяется только на членов группы Администраторы домена (Domain admins) и тех пользователей, которым делегированы права на управление данным контейнером.
  5.  Далее жмем OK и учетная запись компьютера создана, а в значении атрибута ms-DS-CreatorSID будет указан SID того пользователя, от имени которого заводилась учетная запись в AD, а не того кто физически подключал компьютер к домену.

Предварительное создание учетной записи компьютера

Достоинство этого способа в том, что мы сразу создаем учетную запись в нужном нам контейнере, а не в контейнере Computers (контейнер для компьютеров по умолчанию). Однако он более трудоемок, чем остальные, ведь таким образом придется создавать учетку для каждого нового компьютера.

Делегирование прав на создание и удаление учетных записей компьютеров

  •  Открываем оснастку «Active Directory — пользователи и компьютеры».
  • Щелкаем правой кнопкой мыши на контейнере Computers и выбираем пункт «Делегирование управления».
  • В мастере делегирования управления выбираем пользователя или группу, которой доверим создавать учетные записи компьютеров. Правильным решением, на мой взгляд, будет создать для этой цели отдельную группу.

выбор группы для делегирования управления

  • В следующем окне отмечаем пункт «Создать особую задачу для делегирования», т.к. в стандартных задачах нет возможности выбрать создание и удаление учетных записей компьютеров.

выбор особой задачи для делегирования

  •  Отмечаем пункт «Разрешения для создания и удаления дочерних объектов» и выбираем из списка пункты «Создание объекта компьютер» и «Удаление объекта компьютер».

создаем особую задачу для делегирования

  • Жмем кнопку Далее, затем Готово. Делегирование создано, и теперь на выбранных пользователей квота не распространяется.

По моему, наиболее оптимальный способ, достаточно один раз создать группу и делегировать ей полномочия, а затем при необходимости просто добавлять в нее пользователей.

Изменение установленной по умолчанию квоты

  • Заходим в меню Пуск — Администрирование и выбираем пункт «Редактирование ADSI» (ADSIEdit).

открываем Adsiedit

  • Подключаемся к контесту именования домена по умолчанию.

подключение к контексту именования по умолчанию

  • Подключившись, щелкаем правой кнопкой мыши на нашем домене и в контекстном меню выбираем пункт «Свойства».

открываем свойства домена

  • Находим в свойствах атрибут ms-DS-MachineAccountQuota и изменяем его значение на нужное нам.

изменение значения атрибута ms-DS-MachineAccountQuota

  • Сохраняем значение и закрываем оснастку. Квота на добавление компьютеров изменена, причем изменения будут действовать на всех пользователей, прошедших проверку (группа Autentificated Users).

Способ довольно экстремальный, ведь ADSIEdit — инструмент очень мощный, и его неправильное применение может привести к серьезным последствиям.  Хотя, если четко понимать свои действия, то этот пособ ничем не хуже остальных. В любом случае выбирать вам.

 
 
Комментарии
Павел

Первый способ не работает! При изменении подключения самого компьютера с рабочей группы в домен требуется логин и пароль учетной записи в домене с правами на эту операцию.

Ответить